Se confirmó una falla crítica de día cero en la plataforma de transferencia de archivos administrada CLSTLTFT después de que el proveedor y las fuentes de inteligencia de amenazas confirmaron la explotación activa a partir del 18 de julio de 2025 a las 09:00 CST.
Rastreado como CVE-2025-54309, el error permite a los atacantes no autenticados obtener un control administrativo completo de los servidores vulnerables sobre HTTPS.
CrushFTP dice que el problema se resolvió inadvertidamente en las construcciones publicadas alrededor del 1 de julio, pero miles de organizaciones que retrasaron la actualización ahora son objetivos potenciales.
Vulnerabilidad CLANTFTP Explotada por vulnerabilidad
Los ingenieros de CrushFTP vincularon la violación con la lógica de validación incompleta agregada al arreglar un error AS2 no relacionado a principios de este verano. Después de revisar el Código Diff de julio, los atacantes iniciaron el cambio y descubrieron una forma de enrutar las solicitudes de HTTP maliciosos en torno a los controles previstos.
Cuando no se implementa la función de proxy DMZ, la exploit otorga los privilegios del administrador del intruso, efectivamente una sesión de “modo de Dios” a partir de la cual pueden crear nuevos usuarios, datos de sifra o moverse lateralmente dentro de las redes corporativas.
Rapid7 y tenable califican el defecto 9.0+ en la escala CVSS V3.1 debido a su vector de red, naturaleza de clic cero y potencial para un compromiso completo del host.
Los honeypots de Shadowserver comenzaron a registrar los intentos de explotación a las pocas horas de la divulgación de CLANTFTP, haciéndose eco de ondas de escaneo de masa anteriores que siguieron a la bypass de autenticación CVE-2025-31161 de Springtime 2025.
Versiones impactadas
El producto BranchSafe Build o NewStatus antes de PatchNotesCrushftp 1111.3.4_23 <11.3.4_2311.3.4_26 es actual "FIEMBRE" ROLL-UPCRUSHFTP 1010.8.5 <10.8.510.8.5_12 lanzado el 18 de julio
Se cree que las instalaciones lideradas por una instancia DMZ CLSTLFTP configurada adecuadamente bloquean la ruta de exploit, pero Rapid7 advierte contra confiar únicamente en esa arquitectura como una defensa a largo plazo.
Indicadores de compromiso
Los administradores deben inspeccionar inmediatamente:
Usuarios/Mainusers/default/user.xml – Presencia de estrofa inesperada o marca de tiempo reciente. Nuevos nombres de usuario de alta entropía (por ejemplo, 7A0D26089AC528941BF8CB998D97F408M) con privilegios de administración. Los elementos de la interfaz de usuario faltantes en el portal del usuario final o la aparición repentina de un botón “Administrador” en cuentas ordinarias. Patrones de tráfico de salida inusuales que indican puesta en escena de datos.
Los registros indican que los atacantes están reciclando scripts de campañas anteriores de CrushFTP, dirigida a la creación rápida de usuarios seguido de descargas de archivos a granel o caídas de shell remotas.
Parche ahora: actualice a 11.3.4_23 / 10.8.5 o posterior; Habilite actualizaciones automáticas para futuras versiones. Restaurar los valores predeterminados: si se sospecha un compromiso, revertir el usuario predeterminado de una copia de seguridad fechada antes del 16 de julio y purgar cuentas Rogue. Transferencias de auditoría: revise los informes de carga/descarga entre el 16 al 18 de julio para actividades sospechosas. Harden Access: restringir los rangos de IP de administración y interfaz web, hacer cumplir MFA y HTTPS solo, e implementar un proxy DMZ donde sea factible. Monitor: suscribirse a los avisos de proveedores y CERT; Las firmas de IDS de apalancamiento liberadas por Rapid7 y Tenable para el tráfico CVE-2025-54309.
CVE-2025-54309 es el tercer día cero de alto impacto de CrushFTP en 15 meses, después de VFS Sandbox Escape (CVE-2024-4040) y el bypass de condición de carrera AWS4-HMAC (CVE-2025-31161).
El desfile de fallas se hace eco de las violaciones de la cadena de suministro que involucran Moveit, Goanywhere MFT y Accelion FTA, subrayando el valor estratégico de los servicios de transferencia de archivos a grupos de ransomware y actores de espionaje.
Los índices de Shodan revelan más de 5,000 instancias de CrushFTP en línea; Anteriormente, los datos de 2024 mostraron que al menos 1.400 permanecieron sin parches semanas después de un aviso crítico.
Con las exploits de prueba de concepto pública que probablemente salgan a la superficie, los analistas advierten que la explotación de masa oportunista podría aumentar en los próximos días.
Crushftp’s lanzamiento rápido de la construcción 11.3.4_26 mitiga la amenaza inmediata, pero las empresas que tratan los electrodomésticos de transferencia de archivos como utilidades de “configuración y olvida” siguen siendo vulnerables. La gestión de parches, la segmentación de red y la revisión del registro vigilante son una vez más las principales prioridades.
Para las organizaciones que aún no se actualizan, la suposición más segura es la restauración de las copias de seguridad de las copias de seguridad, rotar credenciales y prepararse para posibles investigaciones de respuesta a incidentes.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
